Aangepaste inlogpagina voor WordPress
Hoe u wp-login.php kunt hernoemen, een aangepaste inlog-URL kunt maken en WordPress kunt beschermen tegen geautomatiseerde brute-force- en bot-aanvallen.
English version: Custom login page for WordPress
De functie voor een aangepaste inlogpagina is een uitstekend hulpmiddel om het aanvalsoppervlak te verkleinen en spamregistraties te voorkomen. Het is het eerste wat je moet inschakelen bij een nieuwe WordPress-installatie. Een andere sterk aanbevolen beveiligingsmaatregel is het hernoemen van de pluginsmap van WordPress .
Waarom het belangrijk is en waarom het werkt
Volgens onze studies bij Cerber Lab zijn de meeste hackertools en -aanvallen gebaseerd op de aanname dat een slachtofferwebsite, die draait op WordPress, de standaard inlogpagina heeft en dat plugins zich in de standaardmap bevinden. Hoewel het wordt aanbevolen om geen standaardwaarden te gebruiken op websites, negeren veel website-eigenaren deze eenvoudige principes, waardoor hackers succesvol kunnen toeslaan. En dat is de reden waarom hackers zo dol zijn op WordPress, en waarom we op elk w时刻 honderdduizenden gehackte websites zien.
Configureer uw aangepaste inlogpagina.
Met WP Cerber kunt u de standaard WordPress-inlog-URL wp-login.php eenvoudig en veilig wijzigen naar elke gewenste URL. Met andere woorden, u kunt uw eigen unieke inlogpagina configureren (een aangepaste inlog-URL betekent in deze context hetzelfde) en wp-login.php beschermen tegen kwaadwillenden, scanners en bots. U hoeft het .htaccess-bestand niet te bewerken of het wp-login.php-bestand te hernoemen. Met WP Cerber kunt u dit in een paar klikken configureren.
- Ga naar de beheerderspagina met de hoofdinstellingen van de plugin.
- Voer de gewenste nieuwe inlog-URL in het veld ' Aangepaste inlog-URL' in en sla de instellingen op. Dat is alles.
- Als je een caching-plugin gebruikt, voeg dan je nieuwe inlog-URL toe aan de lijst met pagina's die niet in de cache moeten worden opgeslagen.
- Controleer of uw nieuwe inlog-URL correct werkt en of u deze kunt gebruiken om in te loggen. Doe dit in een incognito-venster van uw browser. Log niet uit van uw website voordat u zeker weet dat uw nieuwe inlog-URL goed werkt .
Custom WordPress login page settings
Hoe verberg je wp-login.php voor bots en scanners?
Zodra je de klantloginpagina hebt ingeschakeld, is het verstandig om de standaard WordPress-loginpagina te verbergen om brute-force-aanvallen te voorkomen. Stel hiervoor de instelling 'Verwerking van authenticatieverzoeken voor wp-login.php ' in op 'Toegang tot wp-login.php blokkeren'. Wanneer een aanvaller probeert de pagina te openen, zal WP Cerber de standaard '404 Niet gevonden'-pagina weergeven. Er is echter één nadeel waar je rekening mee moet houden. Als een aanvaller slim genoeg is, kan hij de website blijven scannen op zoek naar je echte loginpagina.
Hoe schakel ik wp-login.php uit?
Een andere, meer geavanceerde optie die u kunt overwegen, is het uitschakelen van wp-login.php zonder de toegang ertoe te blokkeren. Hoe werkt dit? Deze unieke WP Cerber-functie voorkomt elke poging tot authenticatie via wp-login.php. Bij een inlogpoging simuleert WP Cerber de standaardfoutmelding voor een onjuist wachtwoord en wordt het authenticatieproces afgebroken. Het maakt niet uit welk wachtwoord wordt ingevoerd; niemand kan inloggen, zelfs niet met het juiste wachtwoord. Om deze functie in te schakelen, stelt u de instelling 'Verwerking van authenticatieverzoeken via wp-login.php ' in op 'Authenticatie via wp-login.php weigeren'.
Een waarschuwing om te onthouden
Als u of uw gebruiker vergeet dat wp-login.php is uitgeschakeld en niet kan worden gebruikt om in te loggen, kunt u of uw gebruiker nooit meer inloggen op de website en wordt de toegang geblokkeerd na meerdere pogingen om wp-login.php te gebruiken.
Als je 'Verwerking van authenticatieverzoeken voor wp-login.php' hebt ingesteld op een andere waarde dan de standaardwaarde, kun je alleen je eigen inlog-URL gebruiken. /wp-login.php noch /wp-admin/ kunnen dan nog worden gebruikt om in te loggen.
Belangrijke zaken die je moet weten
- Als je een caching-plugin gebruikt zoals W3 Total Cache of WP Super Cache, moet je de slug van de nieuwe aangepaste inlog-URL toevoegen aan de lijst met pagina's die niet in de cache moeten worden opgeslagen.
- Bij een WordPress multisite-installatie wordt de nieuwe inlog-URL voor alle sites wereldwijd ingesteld.
- Verwijder of hernoem het bestand wp-login.php niet handmatig. Na het updaten van je WordPress naar een nieuwere versie wordt wp-login.php hersteld en is het opnieuw toegankelijk voor indringers.
Beveilig het met tweefactorauthenticatie.
Overweeg om tweefactorauthenticatie (2FA) in te schakelen om beheerdersaccounts te beschermen. Tweefactorauthenticatie biedt een extra beveiligingslaag, waarbij naast een gebruikersnaam en wachtwoord een tweede identificatiefactor vereist is.
Lees meer: Hoe schakel je tweefactorauthenticatie in voor WordPress?
Problemen oplossen met de functie voor aangepaste inlog-URL
Het inschakelen van de aangepaste inlogpagina kan ervoor zorgen dat sommige plug-ins niet meer werken. Als u een plug-in voor het aanpassen van de inlogpagina of een plug-in voor inloggen via sociale media gebruikt, is het mogelijk dat een dergelijke plug-in niet meer werkt. Om dit probleem op te lossen, schakelt u 'Het renderen van de aangepaste inlogpagina uitstellen' in. Lees meer over deze instelling .
Als je een aangepaste inlog-URL hebt ingesteld en deze na een tijdje bent vergeten, controleer dan eerst de inbox van de sitebeheerder op een e-mail met een melding over je nieuwe inlog-URL of een wekelijks rapport. In deze e-mails vind je je aangepaste inlog-URL. Als je geen e-mail kunt vinden, moet je WP Cerber handmatig opnieuw installeren volgens de onderstaande stappen.
- Verwijder de pluginmap /wp-cerber/ handmatig via FTP of een bestandsbeheerder in uw hostingcontrolepaneel.
- Log zoals gebruikelijk in op je WordPress-dashboard via de standaard-URL /wp-login.php of via een andere methode die je gebruikte voordat je de aangepaste inlog-URL inschakelde.
- Installeer en activeer de WP Cerber Security-plugin zoals gebruikelijk.
- Ga naar de pagina met hoofdinstellingen van de plugin.
- Controleer het veld ' Aangepaste inlog-URL' . Hier wordt uw aangepaste inlog-URL weergegeven die u moet gebruiken. Onthoud deze.
Volgende stappen om de beveiliging van je WordPress-website te versterken.
WP Cerber Security 6.0
WP Cerber Security 6.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.